製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenLDAP の bind.cpp におけるアクセス制限を回避される脆弱性

タイトル	OpenLDAP の bind.cpp におけるアクセス制限を回避される脆弱性
概要	OpenLDAP の back-ndb 内にある bind.cpp は、root Distinguished Name (DN) の認証要求をしないため、アクセス制限を回避される脆弱性が存在します。
想定される影響	第三者により、任意のパスワードを介して、アクセス制限を回避される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2011年2月10日0:00
登録日	2011年4月8日13:34
最終更新日	2011年4月8日13:34

CVSS2.0 : 警告
スコア	6.8
ベクター	AV:N/AC:M/Au:N/C:P/I:P/A:P

影響を受けるシステム

レッドハット

Red Hat Enterprise Linux Desktop 6

Red Hat Enterprise Linux HPC Node 6

Red Hat Enterprise Linux Server 6

Red Hat Enterprise Linux Workstation 6

OpenLDAP Foundation

OpenLDAP 2.4.24 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-1025	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1025
National Vulnerability Database (NVD)
2	CVE-2011-1025	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1025

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	名前	URL
OpenLDAP Announce
1	OpenLDAP 2.4.24 available	http://www.openldap.org/lists/openldap-announce/201102/msg00000.html
Red Hat Security Advisory
2	RHSA-2011:0347	https://rhn.redhat.com/errata/RHSA-2011-0347.html
Release Changes
3	Release Changes	http://www.openldap.org/software/release/changes.html

その他

No	名前	URL
Secunia Advisory
1	SA43331	http://secunia.com/advisories/43331
SecurityTracker
2	1025190	http://securitytracker.com/id?1025190
VUPEN Security
3	VUPEN/ADV-2011-0665	http://www.vupen.com/english/advisories/2011/0665

変更履歴

No	変更内容	変更日
0	[2011年04月08日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2011-1025

概要	bind.cpp in back-ndb in OpenLDAP 2.4.x before 2.4.24 does not require authentication for the root Distinguished Name (DN), which allows remote attackers to bypass intended access restrictions via an arbitrary password.
公表日	2011年3月20日11:00
登録日	2021年1月28日16:38
最終更新日	2024年11月21日10:25

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:openldap:openldap:2.4.17:::::::*
cpe:2.3:a:openldap:openldap:2.4.6:::::::*
cpe:2.3:a:openldap:openldap:2.4.11:::::::*
cpe:2.3:a:openldap:openldap:2.4.8:::::::*
cpe:2.3:a:openldap:openldap:2.4.9:::::::*
cpe:2.3:a:openldap:openldap:2.4.16:::::::*
cpe:2.3:a:openldap:openldap:2.4.22:::::::*
cpe:2.3:a:openldap:openldap:2.4.20:::::::*
cpe:2.3:a:openldap:openldap:2.4.15:::::::*
cpe:2.3:a:openldap:openldap:2.4.18:::::::*
cpe:2.3:a:openldap:openldap:2.4.7:::::::*
cpe:2.3:a:openldap:openldap:2.4.23:::::::*
cpe:2.3:a:openldap:openldap:2.4.14:::::::*
cpe:2.3:a:openldap:openldap:2.4.19:::::::*
cpe:2.3:a:openldap:openldap:2.4.12:::::::*
cpe:2.3:a:openldap:openldap:2.4.21:::::::*
cpe:2.3:a:openldap:openldap:2.4.13:::::::*
cpe:2.3:a:openldap:openldap:2.4.10:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
2	http://openwall.com/lists/oss-security/2011/02/24/12
3	http://openwall.com/lists/oss-security/2011/02/25/13
4	http://secunia.com/advisories/43331	Vendor Advisory
5	http://secunia.com/advisories/43718
6	http://security.gentoo.org/glsa/glsa-201406-36.xml
7	http://securitytracker.com/id?1025190
8	http://www.mandriva.com/security/advisories?name=MDVSA-2011:056
9	http://www.openldap.org/devel/cvsweb.cgi/servers/slapd/back-ndb/bind.cpp.diff?r1=1.5&r2=1.8	Patch
10	http://www.openldap.org/its/index.cgi/Software%20Bugs?id=6661
11	http://www.openldap.org/lists/openldap-announce/201102/msg00000.html
12	http://www.redhat.com/support/errata/RHSA-2011-0347.html
13	http://www.ubuntu.com/usn/USN-1100-1
14	http://www.vupen.com/english/advisories/2011/0665	Vendor Advisory
15	https://bugzilla.redhat.com/show_bug.cgi?id=680472	Patch
16	http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
17	https://bugzilla.redhat.com/show_bug.cgi?id=680472	Patch
18	http://www.vupen.com/english/advisories/2011/0665	Vendor Advisory
19	http://www.ubuntu.com/usn/USN-1100-1
20	http://www.redhat.com/support/errata/RHSA-2011-0347.html
21	http://www.openldap.org/lists/openldap-announce/201102/msg00000.html
22	http://www.openldap.org/its/index.cgi/Software%20Bugs?id=6661
23	http://www.openldap.org/devel/cvsweb.cgi/servers/slapd/back-ndb/bind.cpp.diff?r1=1.5&r2=1.8	Patch
24	http://www.mandriva.com/security/advisories?name=MDVSA-2011:056
25	http://securitytracker.com/id?1025190
26	http://security.gentoo.org/glsa/glsa-201406-36.xml
27	http://secunia.com/advisories/43718
28	http://secunia.com/advisories/43331	Vendor Advisory
29	http://openwall.com/lists/oss-security/2011/02/25/13
30	http://openwall.com/lists/oss-security/2011/02/24/12

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-287	不適切な認証	https://cwe.mitre.org/data/definitions/287.html

構成1	以上	以下	より上	未満
cpe:2.3:a:openldap:openldap:2.4.17:::::::*
cpe:2.3:a:openldap:openldap:2.4.6:::::::*
cpe:2.3:a:openldap:openldap:2.4.11:::::::*
cpe:2.3:a:openldap:openldap:2.4.8:::::::*
cpe:2.3:a:openldap:openldap:2.4.9:::::::*
cpe:2.3:a:openldap:openldap:2.4.16:::::::*
cpe:2.3:a:openldap:openldap:2.4.22:::::::*
cpe:2.3:a:openldap:openldap:2.4.20:::::::*
cpe:2.3:a:openldap:openldap:2.4.15:::::::*
cpe:2.3:a:openldap:openldap:2.4.18:::::::*
cpe:2.3:a:openldap:openldap:2.4.7:::::::*
cpe:2.3:a:openldap:openldap:2.4.23:::::::*
cpe:2.3:a:openldap:openldap:2.4.14:::::::*
cpe:2.3:a:openldap:openldap:2.4.19:::::::*
cpe:2.3:a:openldap:openldap:2.4.12:::::::*
cpe:2.3:a:openldap:openldap:2.4.21:::::::*
cpe:2.3:a:openldap:openldap:2.4.13:::::::*
cpe:2.3:a:openldap:openldap:2.4.10:::::::*